Se trata de un nuevo tipo de Controlador de
Dominio
No puede escribir en su base de datos fruto de
peticiones externas
No se le permite tener replicación de salida.
La replicación de claves de usuarios es controlada y
monitorizada por cada RODC.
Reenvía o difiere las escrituras solicitadas a DC de
escritura.
3
Reduce la exposición de informacion crítica
contenida en el directorio a sites no
seguros.
Reduce el vector de ataque en sites no
seguros.
Reduce costes de administración en
topologías de oficinas remotas
4
Se trata de un tipo de role diseñado y concebido
para topologías de Directorio Activo de oficinas
remotas.
También se está utilizando para dar servicio de
Directorio en DMZs e incluso directamente en
Internet.
5
RODC Dcpromo en dos fases
PRP (Política de Replicación de Claves)
Separación Criptográfica
Mecanismo de cacheo de claves
Conjunto de Atributos Filtrados (FAS)
Protocolos que permiten referencia a otro servidor
(DNS LDAP)
Separación de Roles Administrativos (ARS)
Comportamiento de KCC (BHLB)
FRS / DFSR de solo lectura.
6
DC de escritura
DC de solo lectura
Comportamiento nuevo
Autenticación
Kerberos/NTLM
Todos
Solo cuentas con credenciales
cacheadas.
Reenviara a DC de escritura. Provocara el
intento del cache del la clave del usuario
LDAP
Lectura/ Escritura
Lectura
Reenviara las escrituras a un DC de escritura.
(Depende de la aplicación)
Catalogo Global
Si
Si
Conjunto de Atributos
Filtrados (FAS)
No
Si
Los atributos marcados como FAS no serán
replicados a los RODC.
DNS
Búsquedas y
actualizaciones
Búsquedas
las actualizaciones serán redirigidas a un DC
de escritura utilizando extensiones del
protocolo DNS.
APIs de escritura fallarán con error
0xc00000bb “STATUS_NOT_SUPPORTED”
(Dependerá de la aplicación el soporte control
de este error.)
Llamadas RPC (NetR,
APIs de lectura
SAMR, LSASRPC, NSPI APIs de escritura
RPC)
API de lectura
(Algunas funciones RPC serán
encadenas a un DC de escritura
necesarias para mantener
compatibilidad.)
FSMO Roles
Todos
Ninguno
Cabeza de puente
Si
No
Replicación
(AD & FRS)
De entrada/ de salida
De entrada
KCC no contempla a los RODC para generar
la topología. No genera conectores de salida.
Separación de roles
administrativos
(ARS)
Funcionalidad de para
NTDS
No
Si
Ciertos usuarios serán Administradores de
equipo sin ser administradores del dominio.
Si
SI
Cesa el uso del NTDS.dit para permitir tareas
de mantenimiento y administración .
Core Server
Si
Si
Interesante en entornos donde el DC estará en
oficinas remotas.
7
Un DC Windows Server 2008.
RODC solo replicaran desde DC´s2008.
Extender el esquema
domainprep
forestprep
rodcprep
Esta soportado tener RODC en entornos
mixtos 2k3 / 2k8
8
Disponible en todas las versiones que soporten
se controladores de dominio.
9
demo
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Descargar

Slide 1